81°

CVE-2020-11710:Kong API网关未经授权的漏洞警报

最近,Kong发布了有关Kong Admin Restful API Gateway未授权漏洞的风险通知。漏洞编号为CVE-2020-11710,并且漏洞级别很高。

Kong是一个云原生,快速,可扩展的分布式微服务抽象层(也称为API网关或API中间件)。它的核心价值是高性能和可扩展性,于2015年作为一个开源项目提供。

积极维护,Kong已广泛用于从初创公司到Global 5000的公司以及政府组织的生产中。

Kong API网关管理员控制界面具有未授权的访问漏洞。攻击者可以直接控制API网关,并通过Kong API网关管理员控制界面使其成为开放的流量代理,以访问内部敏感服务。

企业通常将Kong用作云原生架构的API网关,并且建立方式通常遵循官方准则。

默认情况下,Admin Restful API(端口:8001/8444)也公开给公共网络,从而使攻击者可以完全控制Kong网关的所有行为。攻击者可以执行的操作包括但不限于:

  • 添加到关键Intranet服务的路由
  • 将Kong设为代理节点以嗅探可访问的内部服务

受影响的版本

  • Kong 2.0.2及更低版本

我们建议用户及时安装最新的修补程序。

原文链接:https://www.linuxidc.com/Linux/2020-04/162926.htm

全部评论: 0

    我有话说: